Titkosítás, biztonság, privát szféra

A Microsoft ma bejelentette, hogy változtat a "Do Not Track"-kel kapcsolatos hozzáállásán és nem engedélyezi azt alapértelmezetten a jövőben kiadásra kerülő webböngészőiben.

A népszerű böngészőkben megtalálható "Do Not Track" feature bekapcsolt állapotban arról értesíti a weboldalakat és azok hirdetőit, hogy a látogató ki akarja kapcsolni a reklámozási célú 3rd party követést. A Microsoft 2012 augusztusában bejelentette, hogy az IE 10-nél a "Do Not Track" alapértelmezetten engedélyezve lesz az "Express Settings" választásakor.

A mai bejelentés elolvasható itt.

"Ezen auditálás alapján a TL;DR az, hogy a Truecrypt viszonylag jól megtervezett titkosító szoftvernek tűnik. Az NCC audit nem talált bizonyítékot sem szándékos backdoor-ra, sem semmilyen komolyabb tervezési hibára, amely a szoftvert a leggyakoribb felhasználási esetekben biztonságtalanná tenné.

De ez nem jelenti azt, hogy a TrueCrypt tökéletes."

A TrueCrypt auditálásának második fázisáról szóló a legfrissebb blogbejegyzés itt, az átvilágítás eredménye pedig itt található.

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.3.1-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik. A DuckDuckGo a napokban 25 ezer dollárral támogatta meg a projektet.

Az 1.3.1-es kiadásban számos biztonsági hibát javítottak.

Részletek a bejelentésben.

A HP-hez tartozó Zero Day Initiative (ZDI) idén is megrendezte a népszerű Pwn2Own biztonsági vetélkedőt. A rendezvény Vancouverben zajlott március 18-19-én. Összefoglaló:

1. nap

[ 1. nap összefoglaló ]

Az MDSec tudomására jutott, hogy egyes mobiltelefon szervizek egy IP Box hardvert használnak az iOS eszközök képernyőzárának bruteforce feltöréséhez. Mivel szerintük ennek komoly biztonsági következményei lehetnek, úgy döntöttek, hogy beszereznek egy ilyen készüléket és tesztelik.

Hogy az adminisztrátorok felkészülhessenek, az OpenSSL projekt egy előzetes figyelmeztetőt tett közzé arról, hogy csütörtökön kiadja az 1.0.2a, 1.0.1m, 1.0.0r és 0.9.8zf OpenSSL kiadásokat. Ezek a kiadások számos biztonsági problémát orvosolnak.

A legsúlyosabb probléma súlyosság szerinti besorolását tekintve "high" kategóriába esik. Részletek a bejelentésben.

Az iSEC Partners, a Matasano Security, az Intrepidus Group és az NGS Secure szakértőit is magában foglaló Cryptography Services a napokban bejelentette, hogy nagyszabású biztonsági auditot terveznek lefolytatni az OpenSSL-en.

Az audit a The Linux Foundation által indított Core Infrastructure Initiative kezdeményezés keretében, az Open Crypto Audit Project szervezésében fog folyni. A Cryptography Services szerint az audit feltehetően a legnagyobb, amit eddig az OpenSSL-en végeztek, de mindenképpen a(z egyik) legnyilvánosabb.

Az audit fókuszában a TLS stack áll.

Részletek a bejelentésben.

A hét közepén egy frissítés után számos Panda antivírus termék malware-nek találta saját létfontosságú fájljait és karanténba vágta őket. A Panda termékeinek működésképtelensége miatt a futtató gépek instabillá, használhatatlanná és internetezésre képtelenné váltak.

A Panda Security a Twitter-en arra kérte az ügyfeleit, felhasználóit, hogy további értesítésig ne indítsák újra a gépüket. Később a cég egy figyelmeztetőt adott ki, amelyben azt közölte, hogy a problémát okozó hibás signature update fájlt azonnal korrigálta.

A Panda Security szerint az ügyfélkörének csak kis hányadát érintette a probléma.

A gyártóknak abbéli törekvésükben, hogy minél kisebb és gyorsabb memóriákat gyárthassanak, számos kompromisszumot kell kötniük. Ilyen kompromisszum például, hogy egyre kisebb fizikai mérettel kell dolgozniuk. Az egyre kisebb fizikai méretek miatt a memóriacellák nagyon közel helyezkednek el egymáshoz. Annyira közel, hogy az egyik memóriacella töltése átszivároghat a szomszédos cellába és ott bit átbillenést idézhet elő. Az ipar szereplői felfigyeltek arra, hogy ez bizony nem csak elméleti probléma, hanem bizonyos körülmények közt meg is történik. Például olyankor, amikor a memóriavezérlő az egyik memóriasornak folyamatosan ACTIVATE parancsokat küld. Ha egy szomszédos sor (Victim Row) egy ideje nem kapott aktiválást vagy frissítést, akkor a folyamatosan aktivált sorból átszűrődő "hammering" bithibát okozhat benne. A hiba onnan kapta a "Row Hammer" nevet, hogy a memória egy sorát ACTIVATE paranccsal "kalapáljuk".

Az Open Whisper Systems blogjában bejelentette, hogy elérhető az App Store-ból a Signal 2.0, amely támogatja a TextSecure privát üzenetküldést. Ezzel lehetővé válik végponttól végpontig titkosított csoport, szöveges, kép és videó üzenetek küldése Android és iOS eszközök közt SMS és MMS költségek nélkül.

A kód teljes mértékben szabad és nyílt forrású. A forráskód megtalálható a GitHub-on, így a szakértők ellenőrizhetik a TextSecure mögött álló protokollt és titkosítást.

Részletek a bejelentésben.